我們使用Citrix Netscaler負載平衡器,用於前端我們的Web服務器。什麼是「一路通過」使用SSL的性能損失,即從最終用戶到負載均衡器(負載均衡器包含站點證書,強度爲2048),然後SSL從負載均衡器到每個Web服務器(再次爲2048) 。SSL對負載平衡器性能有什麼影響?
我特別想知道實際的吞吐量數字。使用SSL是否會影響負載均衡器爲流量提供服務的能力,如果是,則影響數量。我無法從思傑的網站獲得它們。
任何幫助將不勝感激。
隨着連接持續時間的減少,使用SSL的開銷增加。我會看兩個案例;第一種情況是您的連接時間較長,平均而言,每個連接傳輸的平均數據量爲50千字節或更多,這樣穩定狀態吞吐量占主導地位;第二種情況是當連接短時,例如每個連接1k字節的數量級,這樣連接設置占主導地位。我的號碼將被基於Citrix NetScaler的數據表在這裏:
http://www.citrix.com/content/dam/citrix/en_us/documents/products-solutions/netscaler-data-sheet.pdf
在第一種情況下,基於對「SSL吞吐量」和「系統吞吐量」的數字,似乎吞吐量SSL連接,假設連接持續時間足夠長,以至於安裝成本可以忽略不計,這取決於您的特定配置,大約爲未加密連接的吞吐量的25%至75%。這意味着使用SSL可以將吞吐量降低大約2倍。在兩個段上使用SSL會導致大約兩倍的開銷,因此,這比大約無需加密慢3倍,或者比慢1.5倍慢 - 也就是說, 67%的速度 - 僅在一個網段上使用加密。根據配置,67%的因子可能高達80%(SSL吞吐量爲未加密吞吐量的75%)或低至57%(SSL吞吐量爲未加密的25%)。
對於短連接,特別是每個只包含一個HTTP請求的短連接,加密的懲罰要高得多,「SSL transactions/sec」是「HTTP請求/秒」的10-30倍。基本上所有的時間都用於設置交易。在這種情況下,與設置一個SSL連接相比,設置兩個SSL連接大致需要的計算量增加了一倍,因此可以處理的流量大約只有一半。我粗略地說,因爲取決於非對稱加密參數,連接的客戶端的成本可能與連接的服務器端的成本有些不同,並且負載平衡將在服務器端的一個的連接,並在另一端的客戶端。
底線是,如果這是您的問題,我希望SSL在兩個鏈接上的容量都在SSL容量的50%到80%的範圍內。與未加密的流量相比,一條鏈路上的SSL將提供3%到75%的容量,因爲沒有加密,兩條鏈路上的SSL將提供1.7%到60%的容量。
根據鏈接,對於高端型號22120,非SSL爲4,700,000,SSL爲560,000。不太清楚NEBS是什麼,但假設它是一個不同的模型。如果SSL和非SSL的組合會發生什麼?換句話說,理解SSL每秒交易次數減少到560,000次,但這是否也會影響http流量呢? – user1074593
思傑是否提供SSL硬件加速器模塊/卡的負載均衡器? – user1074593
我猜測負載平衡器上的可用計算可以在SSL和未加密的連接之間分配,這樣您可以擁有2,350,000個未加密連接和280,000個加密連接。我不知道可用的Citrix選項;我不是思傑的傢伙,我只是在搜索中找到了數據表。 –
爲了澄清,有兩個獨立的SSL連接,一個從客戶端到負載均衡器,另一個從負載均衡器到Web服務器?還是隻有一個從客戶端到Web服務器的SSL連接,負載均衡器只需轉發加密流而不解密並重新加密? –
有兩個「SSL段」。第一個「SSL段」是從最終用戶到負載平衡器,第二個「SSL段」是從負載平衡器到Web服務器。 – user1074593
爲什麼LB和Web服務器之間有SSL?這是不正常的。 – EJP